In English
ransomware

Säkerhetsincident • Artikel

20 augusti, 2021

Incidentutredaren: "Dörren mot internet stod vidöppen"

Vi på Sentor kontaktas regelbundet av företag som har drabbats av en säkerhetsincident. I regel uppstår ett tillstånd av handfallenhet och förvirring, där kunden behöver hjälp att komma på fötter. Det här är en av våra incidentutredares skildring av en tidigare säkerhetsincident.

“Allt börjar med att telefonen ringer. I andra änden svarar VD:n på ett svenskt medelstort företag inom teknikbranschen. Han är påtagligt uppjagad och han går rakt på sak. Han berättar att ingen av bolagets datorer fungerar som de ska och att deras tekniker tror att det rör sig om ett intrång. Han behöver hjälp med att reda ut situationen, och det på en gång.

I det här läget är mitt mål att försöka bilda mig en uppfattning om vad som har hänt och få en kontext: hur många klienter, servrar och användare är påverkade? Det är även av intresse att veta vad företaget sysslar med för att kunna spekulera i eventuella motiv. Finns det till exempel några politiska motiv eller någon hotbild mot företaget? Det är stor skillnad på intresset för en aktör med redan känd teknologi, jämfört med en där intellectual property är värdefull.

I det här fallet visar det sig att företagets produkt är väldigt lätt att återskapa. Det utgör med andra ord inte ett hot mot verksamheten om någon utomstående kommer över ritningar eller mjukvara. Hade det istället rört sig om ett företag som tillverkar teknik med värdefull intellectual property så kan ett intrång resultera i att samma produkt dyker upp på en handelsplats för en tiondel av priset. Då är situationen betydligt allvarligare.

Innan vi lägger på ber jag honom, som jag alltid gör vid dessa situationer, att inte röra något, och absolut inte stänga av eller starta om datorn. Tyvärr får han den informationen lite för sent.

Två parallella spår tar form

Efter samtalet samlar jag ihop mitt team och åker direkt ut till “brottsplatsen”. Jag ber personen som möter oss att samla all relevant personal till ett möte. Under mötet fortsätter utfrågningen; hur ser miljön ut? Finns det skyddsklassad information att ta hänsyn till? Vilka system är affärskritiska?

Vi målar upp worst case scenario. För det här företaget det produktionsstopp och att alla backuper går förlorade. Det är med andra ord av prioritet att se till att kunden kommer tillbaka i drift så fort som möjligt. För varje minut produktionen ligger nere förlorar företaget pengar.

Efter det initiala mötet tar två parallella spår form. Det ena går ut på att se till att kunden kommer tillbaka i drift så fort som möjligt. Första steget för åstadkomma det är att byta ut alla berörda datorer. De nya maskinerna ansluts av förklarliga inte till domänen, utan får istället ett helt eget nätverk. Det innebär att användarna inte har tillgång till sina interna system och verktyg, men de kan åtminstone använda internet tills dess att saker är på plats igen.

Det andra spåret handlar om att utreda incidenten. Jag och mina kollegor slår upp en incidentstation och ägnar de kommande dagarna åt att spegla hårddisken och analysera det vi hittar. Värt att notera i just det här fallet är att anledningen till att vi inte tittar på minnet, är att kunden redan själv hade startat om datorn. Annars är det en av de första sakerna vi gör. Så återigen, när det skiter sig - starta aldrig om datorn.

Vad vi däremot kan titta på är bland annat filsystem, olika Windows-specifika datastrukturer och alla relevanta loggar som finns tillgängliga. Vi letar även efter konstiga filer, udda användarkonton och diverse tecken på att någon har försökt röja sina spår. Under tiden har vi ständig kontakt med kunden för att säkerställa att arbetet från deras sida går rätt till och för att stötta dem i det arbetet.

Angriparens tillvägagångssätt

Analysen resulterar i starka misstankar om att en angripare har fått tillgång till en specifik domänkontrollant, det vill säga en användare med höga behörigheter i företagets AD. AD:t, eller Active Directory, är den nod som styr och ställer över alla andra system och användare i nätverket. Med andra ord; tar du över domänkontrollanten, tar du över allt.

Vi plockar med oss hårddiskarna som tillhör domänkontrollanten för ytterligare analys.

Det första vi kan konstatera är att intrånget har skett från internet där ett administrationsgränssnitt har exponerats helt öppet. Via det har man med stor sannolikhet fått tillgång till den kapade domänkontrollanten.

I vanlig ordning saknar kunden centraliserad logg. All den logg vi egentligen är intresserad av, främst den som berättar vem som har loggat in när och var, finns inte kvar. I det här läget hade den varit väldigt användbar; vi hade både kunnat se när och var angriparen loggade in första gången, och sedan följa hur den har spridit sig i miljön. Vi kan dra slutsatsen att angriparen har haft åtkomst till miljön mycket längre än vad loggen sträcker sig, vilket bara är över ett par veckor. Enligt vår bedömning rör det sig om minst ett par månader.

Vi vet alltså inte exakt hur länge angriparen har rört sig i miljön. Vad vi däremot kan se är att personen eller personerna i fråga har använt sig av flera angreppsverktyg och stulit alla krypterade lösenord. Med hjälp av dessa verktyg har angriparen kunnat installera skadlig kod på alla system som var anslutna till den drabbade domänkontrollanten.

Lång återhämtningstid

När vi har fastställt orsaken till incidenten är det dags att påbörja uppstädningsarbetet. Hur lång tid det tar för en organisation att återhämta sig efter en säkerhetsincident varierar. Det beror dels på incidentens omfattning som skalar exponentiellt mot hur stor miljön är; i en liten miljö med få maskiner är återhämtningstiden kortare än i en stor miljö med många maskiner.

I det här fallet var de viktigaste systemen i drift inom ett dygn. I andra fall kan det ta upp till flera veckor, eller till och med månader. Under den korta perioden hinner man dock gå miste om flera viktiga saker; förutom att produktionen låg nere har även andra verksamhetskritiska system som rör kundregister och fakturor påverkats.

Det kommer dröja ytterligare fem månader innan verksamheten är helt återhämtad från incidenten. Vid det laget har arbetet ätit upp hela IT-budgeten och alla resurser har allokerats till att sätta upp miljön igen. Incidenter är kostsamt, både i termer av produktionsstopp, ny hårdvara, nedlagd tid och extern hjälp från sådana som oss.

Lärdomar

Vad är då kontentan? Just i det här fallet saknades säkerheten i grunden, eftersom företagets IT-leverantör inte hade tagit det i beaktning. Många förlitar sig på att IT-leverantören har koll på de här sakerna - det har de oftast inte.

Den eller de personerna som utförde arbetet hade lämnat dörren vidöppen mot internet, antagligen utan att riktigt förstå det själva. För en person med säkerhetskompetens hade det inte krävts många minuter för att upptäcka detta. Men istället för att ta in en säkerhetskonsult i en timme får vi göra detta i efterhand istället, vilket blir både jobbigare och betydligt dyrare för kunden.

Dessvärre är det mer regel än undantag att företag tar in den här typen av kompetens först när det redan är försent. Mina många år i branschen har tyvärr gjort mig ganska mörkrädd, efter att ha bevittnat hur vanligt det är att företag exponerar sina allra viktigaste system vidöppna för vem som helst att angripa. Och det är företagens egna ansvar att se till att det inte händer. För det går inte att outsourca risken till sin leverantör - ligger grejerna nere är det din fabrik som står still.”

Vill du läsa mer?